在NTFS文件系統(tǒng)出現(xiàn)后，在Windows系統(tǒng)(2K/XP/Vista..)下的對(duì)象，包括文件系統(tǒng)，進(jìn)程、命名管道、打印機(jī)、網(wǎng)絡(luò)共享、或是注冊(cè)表等等，都可以設(shè)置用戶訪問(wèn)權(quán)限。

在Windows系統(tǒng)中，其是用一個(gè)安全描述符（Security Descriptors）的結(jié)構(gòu)來(lái)保存其權(quán)限的設(shè)置信息，簡(jiǎn)稱為SD，其在Windows SDK中的結(jié)構(gòu)名是“SECURITY_DESCRIPTOR”，這是包括了安全設(shè)置信息的結(jié)構(gòu)體，其結(jié)構(gòu)體內(nèi)容定義如下：

一個(gè)安全描述符包含以下安全信息：

• 兩個(gè)安全標(biāo)識(shí)符(Security identifiers)，簡(jiǎn)稱為SID，分別是OwnerSid和GroupSid. 所謂SID就是每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一SID，當(dāng)你重新安裝系統(tǒng)后，也會(huì)得到一個(gè)唯一的SID。SID是唯一的，不隨用戶的刪除而分配到另外的用戶使用。
  請(qǐng)記住，SID永遠(yuǎn)都是唯一的SIF是由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。
    例：   S-1-5-21-1763234323-3212657521-1234321321-500
• 一個(gè)DACL（Discretionary Access Control List），其指出了允許和拒絕某用戶或用戶組的存取控制列表。 當(dāng)一個(gè)進(jìn)程需要訪問(wèn)安全對(duì)象，系統(tǒng)就會(huì)檢查DACL來(lái)決定進(jìn)程的訪問(wèn)權(quán)。如果一個(gè)對(duì)象沒(méi)有DACL，那么就是說(shuō)這個(gè)對(duì)象是任何人都可以擁有完全的訪問(wèn)權(quán)限。
• 一個(gè)SACL（System Access Control List），其指出了在該對(duì)象上的一組存取方式（如，讀、寫(xiě)、運(yùn)行等）的存取控制權(quán)限細(xì)節(jié)的列表。
• 還有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL

    DACL和SACL構(gòu)成了整個(gè)存取控制列表Access Control List，簡(jiǎn)稱ACL，ACL中的每一項(xiàng)，我們叫做ACE（Access Control Entry），ACL中的每一個(gè)ACE。

    ACL結(jié)構(gòu)體的內(nèi)容如下：

    我們的程序不用直接維護(hù)SD這個(gè)結(jié)構(gòu)，這個(gè)結(jié)構(gòu)由系統(tǒng)維護(hù)。我們只用使用Windows 提供的相關(guān)的API函數(shù)來(lái)取得并設(shè)置SD中的信息就行了。不過(guò)這些API函數(shù)只有Windows NT/2K/XP才支持。

    Windows提供了一系列的安全信息的存取，控制函數(shù)，如 GetNamedSecurityInfo, SetNamedSecurityInfo，GetSecurityInfo, SetSecurityInfo等。

下圖說(shuō)明了，安全對(duì)象和DACL以及訪問(wèn)者之間的聯(lián)系（來(lái)源于MSDN）。注意，DACL表中的每個(gè)ACE的順序是有意義的，如果 前面的Allow（或denied）ACE通過(guò)了，那么，系統(tǒng)就不會(huì)檢查后面的ACE了。另外"拒絕"權(quán)限一般是優(yōu)先于其他權(quán)限的。ACE在DACL中的 順序非常重要。

系統(tǒng)會(huì)按照順序依次檢查所有的ACE規(guī)則，如下面的條件滿足，則退出：

1、  如果一個(gè)Access-Denied的ACE明顯地拒絕了請(qǐng)求者。

2、  如果某Access-Allowed的ACE明顯地同意了請(qǐng)求者。

3、  全部的ACE都檢查完了，但是沒(méi)有一條ACE明顯地允許或是拒絕請(qǐng)求者，那么系統(tǒng)將使用默認(rèn)值，拒絕請(qǐng)求者的訪問(wèn)。

更多的理論和描述，請(qǐng)參看MSDN。

實(shí)例例程

主要實(shí)現(xiàn)2個(gè)功能，獲取目錄的安全設(shè)置和為目錄增加一個(gè)安全設(shè)置項(xiàng)（該程序來(lái)源于MSDN，原作者 陳皓稍作修改，并加入了注解，我也稍作了點(diǎn)修改）

1、   對(duì)于文件、目錄、命令管道，我們不一定要使用GetNamedSecurityInfo和SetNamedSecurityInfo函數(shù)，我們可以使用其專用函數(shù)GetFileSecurity和SetFileSecurity函數(shù)來(lái)取得或設(shè)置文件對(duì)象的SD，以設(shè)置其訪問(wèn)權(quán)限。需要使用這兩個(gè)函數(shù)并不容易，正如前面我們所說(shuō)的，我們還需要處理SD參數(shù)，要處理SD，就需要處理DACL和ACE，以及用戶的相關(guān)SID，于是，一系統(tǒng)列的函數(shù)就被這兩個(gè)函數(shù)帶出來(lái)了。

2、   對(duì)于上一個(gè)例子中的使用硬編碼指定SID的處理方法是。調(diào)用LookupAccountName函數(shù)時(shí)，先把SID，Domain名的參數(shù)傳為空 NULL，于是LookupAccountName會(huì)返回用戶的SID的長(zhǎng)度和Domain名的長(zhǎng)度，于是你可以根據(jù)這個(gè)長(zhǎng)度分配內(nèi)存，然后再次調(diào)用 LookupAccountName函數(shù)。于是就可以達(dá)到到態(tài)分配內(nèi)存的效果。對(duì)于ACL也一樣。

3、   對(duì)于給文件的ACL中增加一個(gè)ACE條目，一般的做法是先取出文件上的ACL，逐條取出ACE，和現(xiàn)需要增加的ACE比較，如果有沖突，則刪除已有的 ACE，把新加的ACE添置到最后。這里的最后，應(yīng)該是非繼承而來(lái)的ACE的最后。關(guān)于ACL繼承，NTFS中，你可以設(shè)置文件和目錄是否繼承于其父目錄 的設(shè)置。在程序中同樣可以設(shè)置。